기업용 소프트웨어는 늘 공격자들의 관심 대상이 된다. 특히 이용자가 많은 소프트웨어는 더 그렇다. 지난 주 컨플루언스 애플리케이션 일부에서 제로데이 취약점 공격이 있었는데, 알고 보니 중국의 APT가 배후에 있다고 한다.
[보안뉴스 문정후 기자] 중국의 APT 단체인 스톰0062(Storm-0062)가 최근 있었던 아틀라시안 컨플루언스 서버(Atlassian Confluence Server) 및 컨플루언스 데이터센터(Confluence Data Center)의 제로데이 취약점 익스플로잇 공격의 배후 세력이라고 마이크로소프트가 발표했다. 해당 취약점의 익스플로잇 코드 역시 구하기 쉬운 상황이라고 하며, 따라서 대량 익스플로잇 공격이 이어질 가능성이 높다고 한다.
![[보안뉴스 / 10.12.] 지난 주 일어났던 컨플루언스 제로데이 익스플로잇 사태, 중국이 배후에](http://www.boannews.com/media/upFiles2/2023/10/892963628_7392.jpg)
[이미지 = gettyimagesbank]
문제의 취약점은 CVE-2023-22515이며, 지난 주 패치와 함께 공개됐다. 아틀라시안 측도 제로데이 취약점임을 인정했다. 처음에는 권한 상승 취약점인 것으로 공개됐으나, 나중에는 원격 코드 실행 취약점에 가까운 것으로 결론이 났다. 심지어 인증 과정을 거치지 않고도 익스플로잇이 가능하다고 한다. 인증 없이 원격에서 코드를 실행할 수 있게 해 주는 취약점은 CVSS 기준 10점 만점의 10점을 받는 게 보통이다. 그만큼 위험한 취약점이라는 것이다.
그런데 이번 주 마이크로소프트가 이 취약점에 대한 또 다른 사실을 공개했다. 이미 9월 14일부터 이 취약점에 대한 익스플로잇 공격이 진행되고 있었으며, 익스플로잇을 위한 트래픽은 네 개의 IP 주소들로부터 시작한다는 것이었다. “공격자들은 컨플루언스 관리자 계정을 새롭게 생성하는 데에 이 취약점을 주로 활용했습니다.”
스톰0062는 누구인가?
스톰0062는 다크섀도우(DarkShadow)나 오룰시(Oro0lxy)라고도 알려져 있는 APT 단체다. 현재까지 알려진 구성원은 두 명으로 리 샤오유(Li Xiaoyu)와 동 지아지(Dong Jiazhi)이다. 두 명 다 중국 정부를 위해 해킹 공작을 펼치는 것으로 예전부터 알려져 있었으며, 2020년 미국 사법부가 기소하기도 했었다. 당시 이들은 코로나 백신 연구 및 개발 단체에 몰래 침투해 정보를 빼냈다는 혐의를 받았다. 두 명은 아직 중국에 있는 것으로 보이며, 따라서 기소 대상이지만 체포되지 않고 있다.
MS는 아틀라시안 해킹 사고의 피해자에 대해서는 명확하게 밝히지 않았다. 다만 중국의 APT 단체들은 중국 공산당에게 도움이 되는 방향에서 공격을 실시하는 게 일반적이라고 짚었다. 중국 공산당은 주로 외교 무대에서 우위를 점하기 위해서 각종 외교 및 군사 첩보를 수집하고, 자국 사업을 적은 노력으로 발전시키기 위해 산업 기밀을 다른 나라로부터 빼돌리는 것으로 악명이 높다. 스톰0062도 비슷한 맥락에서 공격을 실시했을 것으로 추측된다.
MS는 중국 공산당이 최근 중요하게 생각하는 사안으로 남중국해 충돌과 대만 통일, 홍콩의 중국화 등을 꼽았다. “그러므로 이런 사안에서 가장 방해가 되는 국가들을 주로 공략하려 합니다. 미국 국방 조직과 사회 기반 시설들이 주요 표적이 되는 이유지요. 물리적 충돌이 발생했을 때 적대국(즉 미국과 미국의 동맹국)이 금방 군대를 일으키지 못하도록 미리 손을 써 두는 것도 중국 공산당의 주요한 목표입니다.”
아틀라시안, 소프트웨어 공급망 공격의 표적이 되다
문제의 제로데이 취약점은 꽤나 위험한 것으로 분석되고 있다. 취약점 자체도 그렇지만 무엇보다 취약점이 발견된 컨플루언스 소프트웨어 시리즈가 협업 환경에서 널리 사용되고 있기 때문이다. 비즈니스 회의가 컨플루언스 제품들을 통해 진행되니 민감한 내용들이 교류되고 저장되기도 한다. 공격자들의 눈에는 민감한 정보의 창고 같은 느낌이 들 정도다. “예를 들어 회의가 진행될 때 몰래 잠입하는 데 성공해 듣기만 해도 각종 정보를 가져갈 수 있게 되는 것이죠.”
보안 업체 컨트라스트시큐리티(Contrast Security)의 부회장 톰 켈러만(Tom Kellermann)은 “여러 유형의 정보를 얻어가고자 하는 중국 해커들에게 있어 이런 소프트웨어의 구멍은 먹음직스러워 보일 수밖에 없다”고 설명한다. “게다가 수많은 조직들이 컨플루언스를 사용하고 있습니다. 여기서 취약점 하나만 발굴해도 많은 기업들로 통하는 문이 열리는 것과 다름이 없습니다. 일종의 공급망 공격이 가능하다는 뜻입니다.”
켈러만은 컨플루언스를 사용하는 모든 업체들과 기관들은 반드시 이번 소식에 주의를 기울여야 한다고 경고한다. “이미 익스플로잇 방법이 알려지고 또 퍼지는 상황입니다. 취약점이 거기에 있다는 것 외에, 취약점을 익스플로잇 하는 안내서까지 돌아다니고 있다는 겁니다. 그러니 이번에 아틀라시안에서 배포하는 보안 패치를 무시한다면 언젠가 공격에 당하게 될 겁니다. 참고로 컨플루언스는 사이버 범죄자들 사이에서 상당히 선호 받는 제품이라는 걸 염두에 두어야 합니다.”
문제의 제로데이가 해결된 컨플루언스 소프트웨어 버전은 8.3.3, 8.4.3, 8.5.2 혹은 상위 버전이다. MS는 당분간 패치가 불가능한 상황이라면 컨플루언스 애플리케이션이 설치된 시스템과 네트워크를 공공 인터넷에서부터 완전히 분리하여 사용하는 게 안전하다고 권고한다. “업그레이드를 마친 후에 인터넷과 연결하는 게 안전합니다.”
3줄 요약
1. 기업들 사이에서 인기 높은 컨플루언스 제품에서 지난 주 제로데이 취약점 발견됨.
2. 이미 익스플로잇 코드까지 나온 상태.
3. 중국 APT 단체가 9월부터 진작에 익스플로잇 하고 있었다고 함.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 10.12.] 지난 주 일어났던 컨플루언스 제로데이 익스플로잇 사태, 중국이 배후에](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
